随着卷积网络的逐渐成熟,卷积神经网络的应用越来越广泛,随之而来的模型安全问题也越来越受到人们的关注。近年来,针对卷积网络的模型攻防研究课题也受到越来越多人的关注。其中最具有代表性的是对抗样本攻防。对抗样本是模型的外部威胁,即外部输入造成模型的功能上发生异常错误。而本文更关注的是对模型的内部的攻防场景。例如,模型窃取攻击,它针对的是模型内部的隐私安全,模型窃取者通过窃取模型的功能达到个人的经济利益或准备进行进一步的攻击研究。除此之外,模型重用攻击,通过篡改参数达到模型在识别特定类别时发生指向性的错误,它和对抗样本攻击类似,但其实现的原理完全不同。综上所述,这两类攻击类型都是针对模型内部隐私、参数进行的攻击,而并非通过外部的输入干扰模型。首先,本文针对数据传输过程中的数据窃密而导致的模型窃取攻击,本文设计了图像部分加密和标签自编码加解密方法。该方法基于神经网络类激活映射技术,本文将图像不同区域对最终识别结果进行量化。根据图像区域量化结果,本文设计了一个最小重要区域提取算法,将最小重要区域分割出来进行加密,其余区域不进行加密,减小了图像加解密的开销。除此之外,本文通过自编码器的固有加解密性质,将编码器部分用于标签的加密,解码器部分用于标签的解密。其次,本文针对通过API访问的模型窃取攻击,采用多混淆模型进行模糊推断的方式,干扰最终输出的概率分布结果,阻碍攻击者对任务领域数据的边界进行探索,进而干扰模型窃取攻击。具体地,本文通过修改原始模型的决策边界和部分特征提取模式,使修改后的模型输出概率分布偏离原始模型的概率分布。本文将多个模型部署在不同温度系数下,并随机挑选模型进行输出。与此同时,本文保证被修改后模型输出的标签与原始模型相同,保障了正常用户的使用。最后,本文针对模型重用攻击场景,本文根据参数关键性量化进行剪枝防御。本文设计了两种参数关键性量化方法,第一种方式为基于识别结果的梯度量化方法,本文通过对应识别结果对权重的梯度大小,进而量化对应权重的重要性。第二种方式,本文借鉴了神经网络可解释研究的关键路径方法,将关键性量化方法扩展到神经网络权重上。在参数关键性量化后,本文利用权重剪枝和模型重训练技术,将非关键参数进行剪枝,并对剪枝后模型进行重训练,进而消除模型重用攻击的威胁。